寻找信息化发展与安全之间的平衡点
在制度上,2018年,中科大网络信息中心制定了5个学校层面网络安全相关的管理制度提交学校,内容涉及网络、网站内容、信息系统和数据等。这些制度主要从学校的整体数据安全性出发,并非专门针对个人数据保护而制定,但其中包含相关内容。
李京 中国科学技术大学网络信息中心主任
中科大信息化的管理体制中目前没有类似信息办组织,网络信息中心承建了学校的数据中心,但业务系统由各部门自己承建。相关数据分散在各个业务系统中,这些系统出于方便的角度,收集数据时通常都采取大而全的方式,比如通常登录时只需使用身份信息,但各系统均倾向于将师生用户的身份证、手机、电子邮箱等信息全部采集。这对个人数据安全的保护提出很大的挑战,曾有部门出现过信息泄露等事件。
因此,学校开始重视这方面的工作,准备将所有数据汇总在一起,从技术上保证数据的安全性。但由于各个业务系统其实还存有个人数据,这一措施并不能绝对保证数据安全。为此,我们采取了以下几种方法来应对当前的困难。
01
要加大宣传教育,向各个部门普及网络安全法等,引起各部门领导重视。各业务部门再开发系统时,尽量不去收集不必要的个人数据。
02
以等保为抓手,要求所有涉及隐私的数据做到等级保护二级的标准,并且相关系统需集中到网信中心的等保机房,进行统一运维和保护。
03
在和支付宝、银联、微信等第三方对接时,禁止向外提供师生员工的个人信息,所有绑定认证的个人数据由第三方单向提供给学校。
04
在向校内各单位提供数据时,除了相关流程,还要求对其系统进行测评,只有测评合格,确定系统保护达到一定级别,才允许其使用有限数据。
目前,学校个人数据安全保护过程中遇到的最大问题是相关人员意识不够,学校虽然有统一的信息化规划,但很多业务部门不同意统一,导致个数据分散存储,加大了防护压力。此外,如何平衡好智慧化建设和个人信息安全保护也是需要重点关注的问题。
在此基础上,我校下一步计划出台学校层面的数据保护制度,细化个人数据保护的相关规定。随着智慧校园的深入,个人信息将在目前身份证、手机号、住址等自然信息的基础上,增加很多业务信息,包括图书馆借阅信息、门禁数据、上网时长数据、课堂记录、以及个人生物信息等。为此,学校推出了一个数据治理的项目,将在实践中探索相关制度的完善。
此外,我们将与学校相关部门沟通,建议除了如心理障碍等特殊学生之外,最小化采集个人生物信息等数据,寻找智慧校园建设和个人信息安全保护之间的平衡点。
来源:《中国教育网络》8月刊
责编:郑艺龙 版式:建乐乐
投稿、转载或合作,请联系:eduinfo@cernet.com
往期推荐
● 复旦大学:数据驱动的资产管理新模式
● 高校个人信息保护的“审”与“查”